Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/4.4.1
4.4.1 Het Verdrag van Straatsburg
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660856:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
De Raad achtte de ontstane gemeenschappelijke basis als gevolg van zijn resoluties. Gonzáles Fuster 2014, §4.2.3, waarbij zij verwijst naar: F.W. Hondius, The Council of Europe’s work in the area of computers and privacy (Discussion paper for the round table on the use of data processing for parliamentary work, Strasbourg, 18-19 Mei 1978), Strasbourg: Parliamentary Assembly of the Council of Europe. Zie verder impliciet Verdrag van Straatsburg, Explanatory Report, pt. 5-6 en 10.
Verdrag van Straatsburg, Explanatory Report, pt. 1 en 20.
Verdrag van Straatsburg, preambule en Explanatory report, pt. 20.
Conventie 108+, art. 26. Zie voor meer informatie over het verdrag inclusief het amendement van 1999, maar zonder de modernisering, Kierkegaard e.a. 2011.
Verdrag van Straatsburg, Explanatory Report, pt. 9, 20 en 67. Door de komst van het EU-recht is het belang van dit verdrag afgenomen. Wel heeft het verdrag een groter territoriaal toepassingsgebied, doordat het ook is geratificeerd door niet-EU-landen (zoals de Verenigde Staten). Zie ook Verdrag van Straatsburg 2018, art. 1.
Verdrag van Straatsburg, art. 1.
Verdrag van Straatsburg, preambule en Explanatory Report, pt. 19.
Verdragspartijen mogen het grensoverschrijdende verkeer van persoonsgegevens naar andere verdragsstaten in beginsel dan ook niet verbieden of aan speciale vergunningen onderwerpen (art. 12 lid 1). De gedachte hierachter is dat deze landen verdragsconforme regels kennen en daardoor voldoen aan het hierdoor gestelde minimum beschermingsniveau (Verdrag van Straatsburg, Explanatory Report, pt. 67). Art. 12 lid 3 beschrijft de uitzonderingen op het in de hoofdtekst genoemde uitgangspunt. Zie verder Verdrag van Straatsburg, Explanatory Report, pt. 19. Overigens worden de begrippen personal data, personal information, information en data door elkaar gebruikt. Zij hebben dezelfde betekenis.
Verdrag van Straatsburg, art. 3 en 22. Zie voor wat betreft de rol van beginselen hierbij Bygrave 2002, §3.1; De Hert & Papakonstantantinou 2014; Mantelero 2017, §1 en 4; De Hert 2017, p. 173; Krzysztofek 2017, §4.01.
Verdrag van Straatsburg, Explanatory Report, pt. 14-16.
Verdrag van Straatsburg, hfdst. 2 (titel); Verdrag van Straatsburg, Explanatory Report, pt. 20. Omdat het verdrag enkel beginselen en geen concrete regels bevat, wordt het wel omschreven als principles-based regulation (Mantelero 2017, §1 en 4; De Hert 2017, p. 173. Zie De Hert & Papakonstantantinou 2014 voor de gevolgen van wijzigingen in het Verdrag van Straatsburg hiervoor). Zie t.a.v. van dit soort regulering ook Cunningham 2007; Black 2008; Black 2010, p. 4; Laurie & Sethi 2014.
Het verdrag geeft niet aan waaraan deze risico’s verbonden moeten zijn. De plicht geldt specifiek voor alle persoonsgegevens die geautomatiseerd worden verwerkt, waardoor het aannemelijk is dat het gaat om de risico’s van een dergelijke bewaarmethode (Verdrag van Straatsburg, Explanatory Report, pt. 49).
Verdrag van Straatsburg, Explanatory Report, pt. 49.
De Raad had niet uitdrukkelijk aangegeven wie hij beoogt als normadressaat van de plicht tot het treffen van de maatregelen (of de andere verplichtingen uit het verdrag). Dat het om de controller of the file zou gaan, blijkt uit de opzet van het Verdrag. Deze lezing sluit ook aan bij de systematiek van de OESO-richtlijnen, zie §4.3.2.
Verdrag van Straatsburg, art. 2 sub d.
Zie ter vergelijking §4.3.1.
In 1975 constateerde de Raad van Europa dat de persoonsgegevensbeschermingswetten van zijn leden een gemeenschappelijke basis kenden, maar verder erg verschillend waren.1 Met het oog op vooral de toename van (grensoverschrijdende) gegevensverwerkingen, ontstond de wens dit rechtsgebied verder te harmoniseren en de gegevensbescherming te versterken.2 De Raad beoogde deze harmonisatie tot stand te brengen met het in 1981 gesloten Verdrag van Straatsburg, ook wel aangeduid als het Dataprotectieverdrag of Conventie 108.3 Dit verdrag is in 1999 geamendeerd en in 2018 gemoderniseerd (Convention 108+). Met de modernisering is (onder meer) de bepaling aangaande persoonsgegevensbeveiliging subtiel gewijzigd. Conventie 108+ zal, mits aan de voorwaarden is voldaan, van kracht worden in oktober 2023.4 Ik ga hieronder zijdelings op deze modernisering in.
Conventie 108 dient er van oorsprong toe de verschillen in de waarborging van persoonsgegevensbescherming weg te nemen en een gemeenschappelijk minimumbeschermingsniveau te creëren.5 Hieraan lagen grondrechtelijke en economische redenen ten grondslag.6 Het verdrag moest een impuls geven aan zowel de waarborging van de fundamentele rechten van individuen als het onderlinge vrije verkeer van persoonsgegevens en deze twee “fundamentele waarden met elkaar in overeenstemming brengen”.7 Hiertoe verplicht het tot de waarborging van een minimum beschermingsniveau en stelt het slechts voorwaarden en beperkingen aan het vrije verkeer van informatie voor zover dat “strictly justified” is voor de bescherming van rechten en vrijheden van individuen.8 De doelen van de eerder door de Raad van Europa vastgestelde privacy-resoluties en de OESO-richtlijnen lijken hiermee te zijn samengebracht.
Anders dan de resoluties van de Raad van Europa en de OESO-richtlijnen is het Verdrag van Straatsburg bindend. Landen die het hebben geratificeerd (waaronder Nederland), moeten de inhoud ervan in hun nationale recht garanderen.9 Dat de Raad van Europa bij het verdrag (anders dan bij de resoluties) ook het economische aspect van gegevensverwerking meeneemt, komt mogelijk doordat hij bij de voorbereiding van het Verdrag van Straatsburg nauw met de OESO heeft samengewerkt.10
Centraal in het Verdrag van Straatsburg staan de door de Raad van Europa erkende ‘grondbeginselen van gegevensbescherming’.11 Een van deze beginselen ziet op de beveiliging van persoonsgegevens (art. 7). Op grond hiervan dienen de leden van de Raad te waarborgen dat er passende beveiligingsmaatregelen worden getroffen ten aanzien van persoonsgegevens die in geautomatiseerde bestanden zijn bewaard. Deze maatregelen moeten de betreffende gegevens beschermen tegen onopzettelijke of ongeautoriseerde vernietiging, verlies, toegang, aanpassing of verspreiding. Met de modernisering van het verdrag wordt hieraan toegevoegd dat gegevens ook tegen onopzettelijk of ongeautoriseerd gebruik moeten worden beveiligd. Welke maatregelen passend zijn, hangt af van het soort gegevens, de functie van deze gegevens en de betrokken risico’s.12 Bovendien is het afhankelijk van “the current state of the art of data security methods and techniques in the field of data processing”.13
Op dit moment moeten de leden van de Raad de persoonsgegevensbeschermingsverplichtingen opleggen aan de controller of the file.14 Dit is de partij die op grond van het nationale recht bevoegd is vast te stellen welke categorieën van persoonsgegevens er in een geautomatiseerd bestand worden opgeslagen, wat het doel van dit bestand is, en welke verwerkingen ten aanzien van de gegevens zullen plaatsvinden.15 Uit Convention 108+ blijkt dat de verplichting moet gaan gelden voor de verwerkingsverantwoordelijke en, indien van toepassing, de verwerker. Het verdrag geeft er geen blijk van dat de voorschriften zouden moeten gelden voor bijvoorbeeld de producenten van hardware en software, hetgeen wel uit de privacy-resoluties volgde.16